解决Windows11 24H2 专业版无法访问局域网共享问题

55次阅读

没有评论

共计 2478 个字符，预计需要花费 7 分钟才能阅读完成。

今天更新Windows11 24H2 专业版后，无法进入公司的NAS，网上找到解决办法，记录一下，以备不时之需。

1.打开组策略，在“本地计算机策略 > 计算机配置 > 管理模板 > 网络 > Lanman 工作站”中启用“启用不安全的来宾登录”。

2.打开组策略，在”本地计算机策略 > 计算机配置 > Windows 设置 > 安全设置 > 本地策略>安全选项”中禁用“Microsoft 网络客户端：对通信进行数字签名（始终）”。

上述方法中第2步通常默认是禁用的，无需设置。

但是官方并不推荐此方法，下面附上官方说明。

更改内容
在 Windows 11 24H2 中，我们进行了两项重大安全更改，这些更改可能会影响将驱动器映射到第三方消费类 NAS 或带有 USB 存储的路由器：

默认情况下，所有连接都需要 SMB 签名。这通过防止网络篡改来提高安全性，并阻止将您的凭证发送到恶意服务器的中继攻击。
来宾回退在 Windows 11 专业版上处于禁用状态。这可以提高您在连接到不可信设备时的安全性。Guest 允许您连接到没有用户名或密码的 SMB 服务器。虽然对您的 NAS 制造商来说很方便，但这意味着您的设备可能会被诱骗连接到恶意服务器，而无需提示输入凭据，然后获得勒索软件或窃取您的数据。

SMB 签名已在 Windows 中提供 30 年，但现在所有连接都默认需要 SMB 签名。来宾已在 Windows 中禁用 25 年，自 Windows 10 以来，SMB 来宾回退在企业版、教育版和专业工作站版中处于禁用状态。这两项更改都将使数十亿台设备（不仅仅是 Windows，还包括所有运行 SMB 并希望与 Windows 通信的设备）更加安全。他们已经在 Windows Insider Dev 和 Canary 版本中使用了一年。

第三方 NAS 会发生什么情况
不过，有一个不可避免的后果：我们不知道什么时候有人打算变得不安全。

我们不知道未启用 SMB 签名的 NAS 与不希望启用 SMB 签名的恶意服务器之间的区别。
我们也不知道消费类 NAS（制造商使用访客访问来简化连接到其存储，但以牺牲安全性为代价）与希望您在没有任何安全提示的情况下进行连接的邪恶服务器之间的区别，以便窃取您的所有文件或提供恶意软件。此外，SMB 签名不能与来宾凭据一起使用。因此，即使您启用了来宾回退，SMB 签名也会阻止它工作。

如果您已经安装了 Windows 11 24H2 Release Preview，并在之后尝试连接到您的第三方设备时看到这些错误之一，并且之前运行良好，那么您来对地方了。

如果您的第三方设备不支持签名，您可能会收到错误：

0xc000a000
-1073700864
STATUS_INVALID_SIGNATURE
加密签名无效

如果您的第三方需要 Guest Access，您可能会收到错误：

您无法访问此共享文件夹，因为您组织的安全策略会阻止未经身份验证的 Guest 访问。这些策略有助于保护你的电脑免受网络上不安全或恶意设备的攻击
0x80070035
0x800704f8
找不到网络路径
发生系统错误 3227320323

如何解决问题
要解决这些问题，我们建议您按此顺序执行以下操作。它按从最安全到最不安全的顺序排序，我们的目标是保护您的数据，而不是帮助第三方向您销售不安全的产品。

在第三方 NAS 中启用 SMB 签名。如果设备的管理软件中可能，您的供应商将提供在线执行此操作的步骤。
在第三方 NAS 中禁用 Guest Access。如果设备的管理软件中可能，您的供应商将提供在线执行此操作的步骤。
在您的第三方 NAS 中启用用户名和密码。如果设备的管理软件中可能，您的供应商将提供在线执行此操作的步骤。
如果您无法启用签名、无法禁用 guest 或无法使用用户名和密码，请升级您的 NAS。NAS 的管理软件中通常有一个升级选项，可能标记为 “固件更新”。
如果您无法升级 NAS 软件以支持签名和凭证，请更换 NAS（您需要先使用步骤 6 及以后将数据复制到新 NAS）
现在我们进入不太推荐的步骤，因为它们会大大降低您的 Windows 设备和数据的安全性。但是，他们会让您访问这个不安全的 NAS。
禁用 SMB 客户端签名要求：
a. 在开始菜单搜索中，键入 gpedit 并启动编辑组策略应用程序（即本地组策略编辑器）。如果您使用的是 Home Edition，请跳至步骤 8。
b.在控制台树中，选择 “计算机配置”>“Windows 设置”>“安全设置”>“本地策略”>“安全选项”。
c. 双击“Microsoft 网络客户端：对通信进行数字签名（始终）”。
d. 选择 Disabled > OK。
禁用客户机回退保护：
a. 在开始菜单搜索中，键入 gpedit 并启动编辑组策略应用程序（即本地组策略编辑器）。如果您使用的是 Home Edition，请跳至步骤 e。
b.在控制台树中，选择 Computer Configuration > Administration Templates> Network > Lanman Workstation。
c. 双击 Enable insecure guest logons
d. 选择 Enabled > OK。
如果您运行的是 Windows 11 家庭版，则默认情况下仍启用来宾回退选项，因此您可能没有阅读此博客文章。但是，如果由于某种原因它处于打开状态，或者由于某些第三方 NAS 而需要关闭 SMB 签名，您将需要使用 PowerShell 来配置您的计算机，因为默认情况下没有 gpedit 工具。操作步骤：
a. 在开始菜单搜索中，键入 powershell，然后在 Windows PowerShell 应用程序下，单击以管理员身份运行。接受 elevation 提示。
b. 要禁用 SMB 签名要求，请键入：
```
Set-SmbClientConfiguration -RequireSecuritySignature $false
```
d. 按 Enter，然后按 Y 接受。
c. 要禁用 guest fallback，请键入：
```
Set-SmbClientConfiguration -EnableInsecureGuestLogons $true
```
e. 按 Enter，然后按 Y 接受。